Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Tokenschutz ist ein Sitzungssteuerelement für bedingten Zugriff, mit dem versucht wird, Tokenwiederholungsangriffe zu reduzieren, indem sichergestellt wird, dass nur gerätegebundene Anmeldesitzungstoken wie Primary Refresh Tokens (PRTs) von Microsoft Entra ID akzeptiert werden, wenn Anwendungen Zugriff auf geschützte Ressourcen anfordern.
Wenn ein Benutzer ein unterstütztes Gerät mit Microsoft Entra registriert, wird ein PRT ausgestellt und kryptografisch an dieses Gerät gebunden. Diese Bindung stellt sicher, dass auch dann, wenn ein Bedrohungsakteur das Token stiehlt, nicht von einem anderen Gerät verwendet werden kann. Durch erzwungenen Tokenschutz überprüft Microsoft Entra, dass nur diese gebundenen Anmeldesitzungstoken von unterstützten Anwendungen verwendet werden.
Note
Verwenden Sie den Tokenschutz als Teil einer umfassenderen Verteidigungsstrategie gegen Tokendiebstahl. Weitere Informationen finden Sie unter Protecting tokens in Microsoft Entra.
Plattformverfügbarkeit
| Plattform | Status |
|---|---|
| Windows | Allgemein verfügbar |
| iOS / iPadOS | Vorschau |
| macOS | Vorschau |
Note
Der Tokenschutz unterstützt derzeit nur systemeigene Anwendungen. Browserbasierte Anwendungen werden nicht unterstützt.
Unterstützte Ressourcen
Die Tokenschutzrichtlinie kann für die folgenden Cloudressourcen erzwungen werden:
- Exchange Online
- SharePoint Online
- Microsoft Teams
Bei Windows wird die Durchsetzung auch für Folgendes unterstützt:
- Azure Virtual Desktop
- Windows 365
Unterstützte Geräte
Windows:
- Windows 10 oder neuere Geräte, die mit Microsoft Entra verbunden, mit Microsoft Entra hybrid eingebunden oder mit Microsoft Entra registriert sind. Weitere Informationen finden Sie im Abschnitt "Bekannte Einschränkungen" im entsprechenden Bereitstellungshandbuch für nicht unterstützte Gerätetypen.
- Windows Server 2019 oder neuer, die über Hybridverbindung mit Microsoft Entra verbunden sind.
- Ausführliche Schritte zum Registrieren Ihres Geräts finden Sie unter Registrieren Ihres persönlichen Geräts in Ihrem Geschäfts- oder Schulnetzwerk.
Apple (Vorschau):
- macOS 14.0 oder höher. Erfordert das Microsoft Enterprise Single Sign-On (SSO)-Plug-In. Alternativ können Sie auch Plattform-SSO verwenden. Nur von MDM verwaltete Geräte werden unterstützt.
- iOS / iPadOS 16.0 oder höher. Erfordert das Microsoft Enterprise-SSO-Plug-In. Nur von MDM verwaltete Geräte werden unterstützt.
- Ausführliche Schritte zum Einrichten finden Sie unter Aktivieren des Microsoft Enterprise SSO-Plug-Ins und Konfigurieren von Platform SSO für macOS.
Deployment
Befolgen Sie die folgenden Empfehlungen, um die Wahrscheinlichkeit von Benutzerunterbrechungen aufgrund von App- oder Geräteinkompatibilität zu minimieren:
- Beginnen Sie mit einer Pilotgruppe von Benutzern, und erweitern Sie sie im Laufe der Zeit.
- Erstellen Sie eine Richtlinie für bedingten Zugriff im Modus "Nur Bericht ", bevor Sie den Tokenschutz erzwingen.
- Erfassen Sie interaktive und nicht interaktive Anmeldeprotokolle.
- Analysieren Sie diese Protokolle lang genug, um die normale Anwendungsverwendung abzudecken.
- Fügen Sie bekannte, zuverlässige Benutzer zu einer Erzwingungsrichtlinie hinzu.
Dieser Prozess hilft bei der Bewertung der Client- und App-Kompatibilität Ihrer Benutzer für die Erzwingung des Tokenschutzes.
Bereitstellungsleitfäden
Wählen Sie den Leitfaden für Ihre Zielplattform aus:
- Windows: Token Protection-Bereitstellungshandbuch – Windows
- iOS, iPadOS und macOS: Bereitstellungshandbuch zum Tokenschutz – Apple
Verwandte Inhalte
Was ist ein primäres Aktualisierungstoken (Primary Refresh Token, PRT)?